Googleの精鋭セキュリティ研究者チーム「Project Zero」は、ベンダーがセキュリティ問題へのパッチを適切に用意し、ユーザーに配信できるようにすることを重視して、情報公開ポリシーを変更した。
米国時間1月7日に発表した変更により、事前の合意がある場合を除いて、すべての脆弱性を90日後に公表する。
これまでは、脆弱性に対するパッチが作成された時点で、Project Zeroの研究者がバグトラッカーに登録された問題を公開していた。
Project Zeroの責任者であるTim Willis氏は、次のように述べた。「報告された脆弱性についてベンダーがパッチを作成する際、『その場しのぎの対応』にとどまり、亜種を考慮に入れたり脆弱性の根本的原因に対処したりしないケースが多すぎた」
「それによってひとつ懸念されるのは、『パッチのより迅速な作成』というわれわれのポリシーの目標のせいで、攻撃者にとっては、ほとんど手間をかけずにエクスプロイトを復活させてユーザーに攻撃を仕掛けるのが簡単すぎるほどになり、かえってこの問題を悪化させているのではないか、という点だ」(Willis氏)
Willis氏はまた、修正されたバージョンへのアップデートをユーザーが確実に適用し、恩恵を受けられるようにすることも目指すとした。
「エンドユーザーのセキュリティは、バグが発見された時点で向上するわけではなく、バグが修正されたからといって向上するわけでもない。エンドユーザーがバグを認識し、デバイスにパッチを適用して初めて向上するのが普通だ」(Willis氏)
また今回の変更により、Project Zeroとのやりとりが簡略化され、一貫性が高まるという。
Willis氏は、「ベンダーの中には、いつ脆弱性が修正されたかに関する当チームの判断が不透明だと考える向きもあった。とりわけ、ある時点でチーム内の複数の研究者と協力している際にはそういう声が高かった」として、「この点が、比較的大きな問題について当チームと協力するのを妨げる障害と見なされていたため、その障害を取り除いて、状況が改善するかどうか見きわめる」と述べた。
Project Zeroは8月、脆弱性のほぼ96%が90日の公開期限内に修正されていると発表した。7日には、この数字が97.7%に更新されていた。
Project Zeroがこれまでに90日間の期限を延長したのは2回だけだ。1回は、2016年の「iOS」のtask_t問題の時で、もう1回は2018年に明らかになった脆弱性「Meltdown」「Spectre」の時だった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
